PHP: Очищающие фильтры

Очищающие фильтры

**Список очищающих фильтров**
Идентификатор	Имя	Флаги	Описание
`FILTER_SANITIZE_EMAIL`	"email"		Удаляет символы, кроме букв, цифр и символов !#$%&'*+-=?^_`{\|}~@.[].
`FILTER_SANITIZE_ENCODED`	"encoded"	`FILTER_FLAG_STRIP_LOW`, `FILTER_FLAG_STRIP_HIGH`, `FILTER_FLAG_STRIP_BACKTICK`, `FILTER_FLAG_ENCODE_LOW`, `FILTER_FLAG_ENCODE_HIGH`	Кодирует строку в формат URL, и, если нужно, удаляет или кодирует специальные символы.
`FILTER_SANITIZE_MAGIC_QUOTES`	"magic_quotes"		Применяет функцию addslashes(). (УСТАРЕЛА с PHP 7.3.0 и УДАЛЕНА с PHP 8.0.0, вместо неё указывают `FILTER_SANITIZE_ADD_SLASHES`.)
`FILTER_SANITIZE_ADD_SLASHES`	"add_slashes"		Применяет функцию addslashes(). (Доступно с PHP 7.3.0.)
`FILTER_SANITIZE_NUMBER_FLOAT`	"number_float"	`FILTER_FLAG_ALLOW_FRACTION`, `FILTER_FLAG_ALLOW_THOUSAND`, `FILTER_FLAG_ALLOW_SCIENTIFIC`	Удаляет символы, кроме цифр, `+-` и если нужно, то и `.,eE`.
`FILTER_SANITIZE_NUMBER_INT`	"number_int"		Удаляет символы, кроме цифр и знаков плюса и минуса.
`FILTER_SANITIZE_SPECIAL_CHARS`	"special_chars"	`FILTER_FLAG_STRIP_LOW`, `FILTER_FLAG_STRIP_HIGH`, `FILTER_FLAG_STRIP_BACKTICK`, `FILTER_FLAG_ENCODE_HIGH`	Кодирует символы `'"<>&` и символы с ASCII-кодом меньше 32 в HTML-сущности, и, если нужно, удаляет или кодирует остальные специальные символы.
`FILTER_SANITIZE_FULL_SPECIAL_CHARS`	"full_special_chars"	`FILTER_FLAG_NO_ENCODE_QUOTES`	Эквивалент вызова функции htmlspecialchars() с параметром `ENT_QUOTES`. Кодирование кавычек отключают установкой флага `FILTER_FLAG_NO_ENCODE_QUOTES`. Как и функция htmlspecialchars(), этот фильтр учитывает директиву default_charset, и если в последовательности байтов будет обнаружен недопустимый для текущей кодировки символ, то вся строка будет забракована, а результатом будет строка нулевой длины. При установке этого фильтра в качестве фильтра по умолчанию учитывают предупреждение, которое изложено ниже, оно рассказывает об установке флагам по умолчанию значения 0.
`FILTER_SANITIZE_STRING`	"string"	`FILTER_FLAG_NO_ENCODE_QUOTES`, `FILTER_FLAG_STRIP_LOW`, `FILTER_FLAG_STRIP_HIGH`, `FILTER_FLAG_STRIP_BACKTICK`, `FILTER_FLAG_ENCODE_LOW`, `FILTER_FLAG_ENCODE_HIGH`, `FILTER_FLAG_ENCODE_AMP`	Удаляет теги и кодирует двойные и одинарные кавычки, а если нужно, удаляет или кодирует специальные символы. Кодирование кавычек можно отключить, установив `FILTER_FLAG_NO_ENCODE_QUOTES`. (Объявлен устаревшим начиная с PHP 8.1.0, используйте вместо него функцию htmlspecialchars()).
`FILTER_SANITIZE_STRIPPED`	"stripped"		Псевдоним фильтра "string". (Объявлен устаревшим начиная с PHP 8.1.0, используйте вместо него функцию htmlspecialchars()).
`FILTER_SANITIZE_URL`	"url"		Удаляет символы, кроме букв, цифр и $-_.+!*'(),{}\|\\^~[]`<>#%";/?:@&=.
`FILTER_UNSAFE_RAW`	"unsafe_raw"	`FILTER_FLAG_STRIP_LOW`, `FILTER_FLAG_STRIP_HIGH`, `FILTER_FLAG_STRIP_BACKTICK`, `FILTER_FLAG_ENCODE_LOW`, `FILTER_FLAG_ENCODE_HIGH`, `FILTER_FLAG_ENCODE_AMP`	Бездействует, и, если нужно, удаляет или кодирует специальные символы. Этот фильтр — псевдоним фильтра `FILTER_DEFAULT`.

Внимание

Когда либо в ini-файле, либо в конфигурации веб-сервера один из этих фильтров указан в качестве фильтра по умолчанию, флагом по умолчанию для него будет значение FILTER_FLAG_NO_ENCODE_QUOTES. Необходимо явно установить параметру filter.default_flags значение 0, чтобы по умолчанию кавычки кодировались. Вот так:

Пример #1 Настройка фильтра по умолчанию для работы аналогично функции htmlspecialchars

filter.default = full_special_chars
filter.default_flags = 0

Список изменений

Версия	Описание
8.1.0	Фильтры `FILTER_SANITIZE_STRING` и `FILTER_SANITIZE_STRIPPED` объявлены устаревшими.
8.0.0	Удалён фильтр `FILTER_SANITIZE_MAGIC_QUOTES`.
7.3.0	В качестве замены `FILTER_SANITIZE_MAGIC_QUOTES` добавлен фильтр `FILTER_SANITIZE_ADD_SLASHES`.
7.3.0	Фильтр `FILTER_SANITIZE_MAGIC_QUOTES` объявлен устаревшим.

Улучшение страницы

Инструкция • Исправление • Сообщение об ошибке

＋Добавить

Примечания пользователей 10 notes

down

googlybash24 at aol dot com ¶

12 years ago

Remember to trim() the $_POST before your filters are applied:

<?php

// We trim the $_POST data before any spaces get encoded to "%20"

// Trim array values using this function "trim_value"
function trim_value(&$value)
{
    $value = trim($value);    // this removes whitespace and related characters from the beginning and end of the string
}
array_filter($_POST, 'trim_value');    // the data in $_POST is trimmed

$postfilter =    // set up the filters to be used with the trimmed post array
    array(
            'user_tasks'                        =>    array('filter' => FILTER_SANITIZE_STRING, 'flags' => !FILTER_FLAG_STRIP_LOW),    // removes tags. formatting code is encoded -- add nl2br() when displaying
            'username'                            =>    array('filter' => FILTER_SANITIZE_ENCODED, 'flags' => FILTER_FLAG_STRIP_LOW),    // we are using this in the url
            'mod_title'                            =>    array('filter' => FILTER_SANITIZE_ENCODED, 'flags' => FILTER_FLAG_STRIP_LOW),    // we are using this in the url
        );

$revised_post_array = filter_var_array($_POST, $postfilter);    // must be referenced via a variable which is now an array that takes the place of $_POST[]
echo (nl2br($revised_post_array['user_tasks']));    //-- use nl2br() upon output like so, for the ['user_tasks'] array value so that the newlines are formatted, since this is our HTML <textarea> field and we want to maintain newlines
?>

down

terry dot marsault at gmail dot com ¶

5 months ago

None of these parameters do answer my need, so I've made my own function, hope it helps some other folks!

function removeSpecialChars($valueToClean)
{
    return htmlspecialchars(str_replace([",", "#", "$", "%", "*", "~", "'", "=", "{", "[", "|", "`", "^", "]", "}", ":", ";", "<", ">", "/", "?", "&"], "", $valueToClean));
}

down

Anonymous ¶

9 years ago

FILTER_SANITIZE_STRING doesn't behavior the same as strip_tags function.    strip_tags allows less than symbol inferred from context, FILTER_SANITIZE_STRING strips regardless.
<?php
$smaller = "not a tag < 5";
echo strip_tags($smaller);    // -> not a tag < 5
echo filter_var ( $smaller, FILTER_SANITIZE_STRING); // -> not a tag
?>

down

finkenb2 at msu dot edu ¶

10 months ago

With the deprecation of FILTER_SANITIZE_STRING, the "use htmlspecialchars instead" is an incomplete comment.  The functionality of FILTER_SANITIZE_STRING was a combination of htmlspcialchars and (approximately) strip_tags.  For true compatibility a polyfil may be needed:

<?php
function filter_string_polyfill(string $string): string
{
    $str = preg_replace('/\x00|<[^>]*>?/', '', $string);
    return str_replace(["'", '"'], ['&#39;', '&#34;'], $str);
}

$string = "Some \"' <bizzare> string & to Sanitize < !$@%";
echo filter_var($string,FILTER_SANITIZE_STRING).PHP_EOL;
//Some &#34;&#39;  string & to Sanitize 

echo htmlspecialchars($string).PHP_EOL;
//Some &quot;&#039; &lt;bizzare&gt; string &amp; to Sanitize &lt; !$@%

echo strip_tags($string).PHP_EOL;
//Some "'  string & to Sanitize < !$@%

echo htmlspecialchars(strip_tags($string,ENT_QUOTES)).PHP_EOL;
//Some &quot;&#039;  string &amp; to Sanitize &lt; !$@%

echo filter_string_polyfill($string).PHP_EOL;
//Some &#34;&#39;  string & to Sanitize

down

ipse at sergiosantos dot me ¶

3 years ago

Although it's specifically mentioned in the above documentation, because many seem to find this unintuitive it's worth pointing out that FILTER_SANITIZE_NUMBER_FLOAT will remove the decimal character unless you specify FILTER_FLAG_ALLOW_FRACTION:

<?php
$number_string = '12.34';

echo filter_var( $number_string, FILTER_SANITIZE_NUMBER_FLOAT ); // 1234

echo filter_var( $number_string, FILTER_SANITIZE_NUMBER_FLOAT, FILTER_FLAG_ALLOW_FRACTION ); // 12.34
?>

down

Willscrlt ¶

8 years ago

To include multiple flags, simply separate the flags with vertical pipe symbols.

For example, if you want to use filter_var() to sanitize $string with FILTER_SANITIZE_STRING and pass in FILTER_FLAG_STRIP_HIGH and FILTER_FLAG_STRIP_LOW, just call it like this:

$string = filter_var($string, FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_HIGH | FILTER_FLAG_STRIP_LOW);

The same goes for passing a flags field in an options array in the case of using callbacks.

$var = filter_var($string, FILTER_SANITIZE_SPECIAL_CHARS,
array('flags' => FILTER_FLAG_STRIP_LOW | FILTER_FLAG_ENCODE_HIGH));

Thanks to the Brain Goo blog at popmartian.com/tipsntricks/for this info.

down

marcus at synchromedia dot co dot uk ¶

14 years ago

It's not entirely clear what the LOW and HIGH ranges are. LOW is characters below 32, HIGH is those above 127, i.e. outside the ASCII range.

<?php
$a = "\tcafé\n";
//This will remove the tab and the line break
echo filter_var($a, FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_LOW);
//This will remove the é.
echo filter_var($a, FILTER_SANITIZE_STRING, FILTER_FLAG_STRIP_HIGH);
?>

down

AntonioPrimera ¶

8 years ago

Please be aware that when using filter_var() with FILTER_SANITIZE_NUMBER_FLOAT and FILTER_SANITIZE_NUMBER_INT the result will be a string, even if the input value is actually a float or an int.

Use FILTER_VALIDATE_FLOAT and FILTER_VALIDATE_INT, which will convert the result to the expected type.

down

galvao at galvao dot eti dot br ¶

11 years ago

Just to clarify, since this may be unknown for a lot of people:



ASCII characters above 127 are known as "Extended" and they represent characters such as greek letters and accented letters in latin alphabets, used in languages such as pt_BR.



A good ASCII quick reference (aside from the already mentioned Wikipedia article) can be found at: http://www.asciicodes.com/

down

david dot drakulovski at gmail dot com ¶

10 years ago

Here is a simpler and a better presented ASCII list for the <32 or 127> filters 
(if wikipedia confused the hell out of you):

http://www.danshort.com/ASCIImap/

＋Добавить